Die neue Meldepflicht nach der DSGVO

Neben zahlreichen Änderungen durch die neue Datenschutzgrundverordnung (DSGVO) wird die bereits nach § 42a BDSG geregelte Meldepflicht des Verantwortlichen bei Datenpannen durch die Vorschrift des Art. 33 Abs. 1 DSGVO abgelöst. Die „neue“ Meldepflicht, die mit der EU-weiten DSGVO ab Mai 2018 auch in Deutschland gilt, ist deutlich umfassender und benennt im Gegensatz zu ihrem bundesgesetzlichen Vorgänger auch inhaltliche Anforderungen. Ein Überblick.

Warum ist die Meldung einer Datenpanne hilfreich?

Die Globalisierung führt zu immer mehr Datentransaktionen innerhalb der Gesellschaft und der Wirtschaft. Es werden sensible Daten erhoben, verarbeitet und verwendet. Personenbezogene Daten, die Aufschluss über persönliche Eigenschaften des Betroffenen geben, wie z.B. rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder strafrechtliche Verurteilungen, müssen hinreichend geschützt sein. Die Verletzung dieses Schutzes – etwa durch eine Offenlegung oder einen Missbrauch – kann gravierende Folgen für den Betroffenen haben: Neben finanziellen Verlusten kommen insbesondere auch immaterielle Einbußen, zum Beispiel Rufschädigung, Diskriminierung oder Identitätsdiebstahl in Betracht.

Der Umgang mit personenbezogenen Daten muss daher an bestimmte Verpflichtungen des Verantwortlichen geknüpft sein. Die zu diesem Zweck geltende Meldepflicht trägt diesem Bestreben Rechnung: Datenpannen sollen schnell und effizient behoben oder zumindest gemildert werden.

Inhalt und Umfang der Meldepflicht

Art. 33 DSGVO gibt dem Rechtsanwender zum ersten Mal auch inhaltliche Bestimmungen hinsichtlich seiner Meldepflicht an die Hand: Der Verantwortliche muss nach Abs. 3 die Art der Verletzung (incl. Angabe der Kategorien, ungefähre Anzahl der Betroffenen etc.), die wahrscheinlichen Folgen und die durch ihn ergriffenen Abhilfemaßnahmen beschreiben. Darüber hinaus muss er den Datenschutzbeauftragten benennen. Bei der Auslegung dieser Begrifflichkeiten sind auch die Verhaltensregeln der Verbände und anderer Vereinigungen, die Kategorien und Verantwortlichen oder Auftragsverarbeiter vertreten, zu beachten, die sie nach Maßgabe des Art. 40 Abs. 2 lit. i) DSGVO aufstellen und somit die inhaltlichen Anforderungen an die Meldepflicht konkretisieren können.

Wie Erwägungsgrund 88 der DSGVO nahelegt, muss bei der Bestimmung eines angemessenen Umfangs der Meldung berücksichtigt werden, ob und inwieweit die personenbezogenen Daten durch geeignete technische Sicherheitsvorkehrungen geschützt waren; waren sie nicht geschützt, muss die Meldung umfassender ausfallen, da die Aufsichtsbehörde in diesen Fällen gefordert ist, entsprechende Maßnahmen zu ergreifen. Hierzu ist sie auf detailliertere Informationen angewiesen.

Von einer stufenweisen Meldung kann der Verantwortliche Gebrauch machen, wenn die für die Meldung erforderlichen Informationen nur schrittweise herangetragen werden können, vgl. Art. 33 Abs. 4 DSGVO.

Wann muss die Datenpanne gemeldet werden?

Nach § 42a BDSG ist nur die Verletzung des Schutzes der – dort abschließend aufgezählten – sog. Risikodaten meldepflichtig, und auch nur dann, wenn eine schwerwiegende Beeinträchtigung für die Rechte oder schutzwürdigen Interessen des Betroffenen drohen.

Demgegenüber muss nach der neuen Rechtslage der DSGVO jede „Verletzung des Schutzes personenbezogener Daten“ gemäß Art. 33 Abs. 1 DSGVO unverzüglich der zuständigen Aufsichtsbehörde gemeldet werden. Eine Meldepflicht des Verantwortlichen besteht hingegen nicht, wenn die Verletzung „nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Person führt.“

Mit dieser Formulierung wählt der europäische Gesetzgeber einen risikobasierten Ansatz, der das Meldeerfordernis vom Grad der Schwere der Datenpanne abhängig macht. Es muss demnach im Wege einer Risikoprognose eruiert werden, inwieweit die Datenpanne die Interessen, die Grundrechte und Grundfreiheiten des Betroffenen beeinträchtigt, also wie hoch die Wahrscheinlichkeit ist, dass die Datenpanne wirtschaftliche oder gesellschaftliche Schäden für den Betroffenen nach sich zieht. Die Prognose stellt der Verantwortliche bei der Verletzung selbst und somit auch in eigener Verantwortung; er trägt das Prognoserisiko. Im Falle einer Fehleinschätzung können ihm empfindliche Bußgelder im Sinne des Art. 83 Abs. 4 lit. a) DSGVO auferlegt werden. Kommt der Verantwortliche zu dem Schluss, die Datenpanne stelle keine Beeinträchtigung für die Rechte und Freiheiten des Betroffenen dar, trifft ihn auch keine Meldepflicht. Er hat die Datenpanne in diesem Fällen lediglich zu dokumentieren, Art. 33 Abs. 5 DSGVO.

Seiner Meldepflicht hat der Verantwortliche unverzüglich nachzukommen. Nach 72 Stunden ist die Meldung nur zulässig, wenn dem Verantwortlichen die vorherige Meldung nicht möglich gewesen ist und er die Umstände der Verspätung hinreichend begründet.

Was ändert sich?

Die unbestimmten Rechtsbegriffe des Art. 33 DSGVO werden zunächst für eine größere Rechtsunsicherheit sorgen. Es bleiben insoweit die Verhaltensregeln der Verbände und Vereinigungen sowie die Leitlinien des Europäischen Datenschutzausschusses abzuwarten, die zu einer Präzisierung der Begrifflichkeiten beitragen werden. Jedenfalls aber fasst die neue Vorschrift des Art. 33 DSGVO in zweierlei Hinsicht die Meldung mehrerer Verpflichtungen ins Auge: Sie gilt erstens nicht nur für die Verletzung von Risikodatenpannen, sondern für jede Verletzung personenbezogener Daten; und zweitens besteht die Meldepflicht nicht erst bei der Drohung schwerwiegender Beeinträchtigungen, sondern schon dann, wenn die Schwelle eines geringes Risikos überschritten ist. Im Ergebnis soll die neue Meldepflicht einen besseren Schutz des Betroffenen gewährleisten, da die Konsequenzen bei unsachgemäßer Behandlung von Datenpannen verheerend sein können.

 

Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Anwaltliche Beratung

–––

Sie suchen einen erfahrenen Partner rund um das Thema Datenschutz? Setzen Sie sich mit uns in Verbindung.